Truy cập bản ghi bảo mật từ xa
Như chúng ta đã biết, các bản ghi bảo mật được tạo ra trên máy chủ Windows hoặc các máy trạm desktop có thể được sử dụng để khắc phục sự cố, kiểm tra việc truy cập dữ liệu, ghi chép lại sự truy cập của người dùng và thậm chí còn mang tính pháp lý. Một vấn đề phát sinh đối với các bản ghi bảo mật trong Windows là chúng được lưu trên máy tính xảy ra sự việc, do đó rất khó khăn cho việc truy cập, quản lý và tổ chức chúng. Tuy nhiên, chúng ta có thể sử dụng một số công cụ và kỹ thuật, hay một số tùy chọn để thu thập các thông tin từ một hoặc nhiều máy tính Windows từ xa một cách hiệu quả.
Event Viewer
Phần mềm Event Viewer trong Windows Vista và Server 2008 có một số tính năng mới mà chúng ta nên xem xét nếu muốn truy cập từ xa các bản ghi bảo mật này. Một số tính năng mới này có thể giúp tìm ra các sự kiện bảo mật chính, thậm chí còn cho phép lọc ra các sự kiện cần tìm giữa hàng ngàn sự kiện. Cấu trúc và sự trợ giúp trong Event Viewer tỏ ra rất hữu dụng, nhiều tính năng khác như filtering, custom views, liên kết nhiệm vụ cho sự kiện thậm chí còn cho phép người dùng tăng quyền kiểm soát đối với các sự kiện hơn nữa.
Filters
Mỗi một bản ghi bên trong Event Viewer đều có một tùy chọn lọc. Tùy chọn lọc này sẽ cho phép bạn thu hẹp phạm vi những gì được thể hiện bên trong bản ghi, giúp bạn thấy rõ những sự kiện thực sự cần.
Để cấu hình tính năng lọc này, chúng ta chỉ cần kích vào bản ghi mà bạn muốn lọc, sau đó chọn Filter Current Log trên panel bên phải. Hộp thoại Filter Current Log sẽ xuất hiện như những gì thể hiện trong hình 1, từ đây bạn có thể cấu hình những gì cần thiết.
Hình 1: Các tùy chọn lọc cho mỗi bản ghi bên trong Event
Viewer
Custom Views
Tính năng custom views bên trong Event Viewer cho phép thực hiện một số thao tác với các sự kiện cụ thể hết sức dễ ràng. Nó cho phép quan sát các sự kiện để tìm kiếm xu thế và kết hợp các sự kiện để tìm ra đối tượng xâm nhập hoặc khắc phục các vấn đề.
Ưu điểm chính của custom views là chúng ta có thể thao tác với bất cứ bản ghi nào, thậm chí các bản ghi từ máy tính khác. Miễn là nó phải nằm trên máy tính mà bạn đang tạo custom view, bạn có thể bổ sung thêm bất cứ sự kiện nào cho custom view. Cho ví dụ, xem xét một tình huống mà ở đó chúng ta đang gặp phải vấn đề với bản sao giữa các domain controller. Rõ ràng rằng, nếu một số domain controller có tất cả thông tin đúng, một số domain controller chỉ có vài thông tin và một số domain controller không có bất cứ nâng cấp nào. Trong trường hợp này, bạn có thể tạo một custom view từ các bản ghi khác trên một máy tính. Sau đó sử dụng toàn bộ bản ghi Active Directory hoặc chỉ định event ID từ Active Directory (hay bất cứ bản ghi nào khác).
Để có thêm thông tin về cách cài đặt custom views, bạn có thể truy cập tại đây.
Tasks
Bên trong Event Viewer, bạn còn có thể liên kết nhiệm vụ đã được lên lịch trình cho sự kiện hoặc event ID. Có rất nhiều tùy chọn được cung cấp ở đây cho bất cứ ai có nhu cầu khi xuất hiện các hành động nào đó trên hệ thống. Các nhiệm vụ có thể được tạo trực tiếp trong Event Viewer bằng cách kích vào sự kiện, sau đó chọn "Attach task to this event" trên panel phải. Dù thực hiện bằng cách nào thì bạn cũng sẽ bắt gặp các tùy chọn có thể chọn cho nhiệm vụ. Bạn cũng có thể khởi chạy Task Scheduler, tiện ích có một tùy chọn mới cho việc thiết lập các nhiệm vụ có liên quan tới các sự kiện.
Để có thêm thông tin về thiết lập nhiệm vụ bên trong Event Viewer cho các sự kiện và bản ghi, bạn có thể truy cập tại đây.
EventComb
EventComb là công cụ được tạo và phát hành bởi Microsoft. Đây cũng là một công cụ khá ấn tượng, người dùng sẽ thấy các tùy chọn có sẵn bên trong cửa sổ giao diện EventComb ở hình 2. Mặc dù vậy, EventComb còn ấn tượng hơn nhiều, điều này phụ thuộc vào những gì bạn cần thu thập cho các sự kiện. Bạn có thể thấy tất cả các tùy chọn có sẵn bên trong cửa sổ giao diện EventComb trong hình 2.
Hình 2: EventComb cho phép thực hiện một số điều
chỉnh trong việc thu thập các sự kiện trên máy tính từ
xa
Để có được EventComb, bạn có thể download nó tại đây.
Một số gợi ý khi chạy EventComb là nó sẽ tạo một file cục bộ trên mỗi máy tính bạn quét. Chương trình sẽ không tạo một file mà là nhiều file, tuy nhiên bạn có thể lấy những file được tạo và import chúng vào Excel, sau đó thực hiện tìm kiếm trên tất cả các file và sự kiện. Khả năng có thể kiểm soát và tìm kiếm các sự kiện theo cách này cho phép tìm ra các vấn đề dễ dàng hơn rất nhiều.
Văn Linh (Theo Windowsecurity) |